Уязвимость BDU:2015-10444

Дата: 26.06.2015. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2015-10444.

Наименование уязвимости: Уязвимость сервера печати CUPS, позволяющая нарушителю изменить файл конфигурации устройства или выполнить произвольный код.

Описание уязвимости: Уязвимость функции add_job в файле scheduler/ipp.c сервера печати CUPS связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменить файл конфигурации устройства или выполнить произвольный код с использованием специально сформированных запросов IPP_CREATE_JOB или IPP_PRINT_JOB
Уязвимое ПО: Сетевое программное средство Apple Inc. Common Unix Printing System до 2.0.3 |

Наименование ОС и тип аппаратной платформы: Linux 64-bit | Linux 32-bit | Mac OS X 32-bit | Windows 64-bit | Windows 32-bit | Mac OS X 64-bit |
Дата выявления: 26.06.2015.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению:
Обновление программного обеспечения до 2.0.3 или выше
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2015-1158.
Прочая информация:
Тип ошибки CWE: CWE-254
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://googleprojectzero.blogspot.in/2015/06/owning-internet-printing-case-study-in.html
http://www.cups.org/blog.php?L1082
https://bugzilla.opensuse.org/show_bug.cgi?id=924208
https://bugzilla.redhat.com/show_bug.cgi?id=1221641
https://code.google.com/p/google-security-research/issues/detail?id=455
https://www.cups.org/str.php?L4609
http://www.kb.cert.org/vuls/id/810572

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *